Cybersecurity zwak punt bij nucleaire veiligheid


De Nucleaire top en Cyber Security: “Een goed begin, maar half werk”, aldus Trustforce.

Aalsmeer, 20140325 -- Cybersecurity-expert Trustforce beweert dat de op de nucleaire top uitgesproken intentie om informatiebeveiliging in de nucleaire arena op een hoger plan te krijgen een goede eerste stap is. De voorgestelde oplossingen laten echter belangrijke details oningevuld en dit kan leiden tot schijnveiligheid, aldus het bedrijf.

Met hun zijdelingse betrokkenheid bij de beveiliging van nucleaire installaties en nucleair materiaal hebben cybersecurity-experts van Trustforce al eerder onder de aandacht willen brengen dat de informatiebeveiliging een ondergeschoven kindje lijkt. Gebeurtenissen in de afgelopen jaren, zoals de gerichte virusaanvallen op de nucleaire installaties in het Iraanse Natanz in 2010, hebben er toe geleid dat dit onderwerp meer op de agenda is komen te staan.

Toch organiseert een organisatie als de IAEA pas medio 2015 een eerste conferentie over cybersecurity. Aangezien de ontwikkelingen op dit gebied ongeëvenaard snel gaan en de risico’s bijzonder hoog zijn, moet serieus de vraag worden gesteld of de plaats op de agenda wel hoog genoeg is. De binnen de IAEA voorgestelde maatregelen op het gebied van cybersecurity bestaan voornamelijk uit het verhogen van de trainingsgelegenheden van zes naar negen maal per jaar. Dat lijkt op half werk, naar de mening van Trustforce.

Dat dit onderbelicht blijven van het belang van cybersecurity ook een belangrijk onderwerp op de nucleaire top in Den haag is gebleken, is hopelijk een goed teken dat er meer stappen in de juiste richting worden genomen.

Er zijn in de ogen van Trustforce echter nog wel belangrijke zorgpunten. Eén daarvan is dat er vooral veel aandacht is voor veilige communicatie tussen betrokkenen, maar dat andere aspecten buiten beschouwing lijken te blijven.

Bijna alle voorgestelde maatregelen concentreren zich op drie specifieke onderwerpen:
  • Bescherming tegen virussen en andere malware.
  • Verhogen van de vertrouwelijkheid van informatie
  • Verhogen van awareness
Niets mis mee volgens Trustforce, alleen jammer dat het lijstje zo kort is. Informatiebeveiliging gaat over meer dan alleen vertrouwelijkheid. De andere twee pijlers van het vak, integriteit en beschikbaarheid, zijn minstens even belangrijk. Gegevens moeten waar ze nodig zijn natuurlijk ook beschikbaar zijn. Daarnaast is Integriteit van data, het zeker stellen dat gegevens die gebruikt worden ook echt kloppen, essentieel om bijvoorbeeld nucleair materiaal te kunnen traceren. In de bankwereld is men zich er al decennia van bewust dat potentiële dieven hun digitale sporen zouden kunnen wissen. In de context van de IAEA zou dit kunnen leiden tot het ontvreemden van splijtingsmateriaal zonder dat dit geregistreerd wordt. Als niet alle risico’s en kwetsbaarheden die een rol spelen, systematisch worden behandeld, ontstaat er een grote kans op schijnveiligheid. Hoewel integriteit en beschikbaarheid wel genoemd worden, ligt de nadruk telkens weer uitsluitend op het aspect vertrouwelijkheid.

In een eerste reactie op de conclusie van de nucleaire top zegt één van de experts van Trustforce:

“Trustforce staat voor het standpunt dat informatiebeveiliging een integraal onderdeel moet vormen van bedrijfsprocessen, zeker als dat bedrijf het beheer van nucleaire middelen behelst. Informatiebeveiliging is een vak op zich en niet iets wat erbij gedaan moet worden als men toch al aan het beveiligen is. Schijnveiligheid is vaak nog gevaarlijker dan onveiligheid. Het is duidelijk tijd dat de echte deskundigen aan boord worden gehaald en wij zijn er klaar voor”.


Deel: ' Cybersecurity zwak punt bij nucleaire veiligheid '




Lees ook